Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CLUSIF : panorama de la cybercriminalité 2009

janvier 2010 par Emmanuelle Lamandé

Le CLUSIF présentait la semaine dernière la 9ème édition de son panorama de la cybercriminalité. Une année 2009 qui n’a rien à envier aux précédentes, que ce soit en volumétrie d’attaques ou en ingéniosité des cybercriminels...

L’année 2009 s’est achevée sur l’annonce de la compromission GSM lors du Chaos Communication Congress de Berlin. Reprenant les travaux du groupe THC, le cryptologue Karsten Nohl est l’auteur de cette démonstration mettant à mal l’A5/1, l’algorithme GSM (2G) conçu en 1987. Les réseaux 3G ne sont pas impactés par ce travail, car ils utilisent d’autres algorithmes, tels que KASUMI. Concernant les réseaux 2G, le passage à A5/3 est encouragé depuis longtemps, mais les contraintes pour les opérateurs restent trop fortes. Pour Alain Thivillon, Directeur Technique HSC, cette compromission est à mettre en perspective avec deux autres actualités : le record battu pour le calcul décimal de PI (31/12/2009) et l’annonce de la factorisation d’une clé RSA de 768 bits (08/01/2010).

Les infrastructures générales migrent sur les réseaux IP

 

Quelques années après la téléphonie, le reste des infrastructures générales migre sur les réseaux IP : surveillance et accès, climatisation, chauffage, énergie, système SCADA. Les nouvelles offres des opérateurs viennent s’imbriquer avec cette problématique : surveillance du domicile depuis Internet, nouveaux services M2M « Internet des objets », IPv6, ... Quels sont les risques ? Les technologies sont aujourd’hui plus faciles à acquérir par les attaquants. La surface d’attaque s’étend au réseau IP. Souvent, les équipements sont très légers (mémoire, CPU) avec des systèmes d’exploitation moins évolués (RT) et moins éprouvés. Le risque de déni de service est élevé sur la couche IP. Que faire ? Reprendre la main, se faire expliquer les technologies lors de leur installation et comprendre comment ça marche, préférer ce qui est normé et ouvert, envisager une segmentation réseau, des audits ou tests d’intrusion, ..., conclut Alain Thivillon.

Cloud computing : une économie d’échelle pour les prestataires

Pascal Lointier, Président du CLUSIF, Conseiller sécurité des systèmes d’information - Chartis,  s’est intéressé cette année à deux phénomènes : les ruptures ou vols de câbles et le cloud computing.

On se souviendra en avril 2009 de la double rupture malveillante de câbles de Verizon, AT&T... Des dizaines de milliers d’utilisateurs ont été impactés. On a également observé en 2009 une augmentation du nombre de vols de câbles pour la valeur du matériau. La possibilité de sabotage de ces infrastructures est donc une réalité qui doit être envisagée en entreprise. Il faut avoir de bonnes pratiques en matière de câbles. Parmi les solutions à privilégier : une double adduction physique. Deux arrivées physiquement séparées coûtent évidemment plus cher mais augmentent le niveau de sécurité.

Le cloud computing est avant tout une économie d’échelle pour les prestataires et les fournisseurs. D’un point de vue économique, le cloud computing est intéressant mais laisse de côté certains points de sécurité, notamment la haute disponibilité. Les conséquences d’un bug ou d’une attaque d’un centre informatique sont très importantes. De plus, il ne faut pas omettre de prendre en compte les effets secondaires. Avec le cloud computing, même si les serveurs sont aujourd’hui virtuels d’un point de vue logiciel, ils sont bien réels dans les centres informatiques, avec toutes les fragilités inhérentes. Une entreprise doit bien penser son contrat d’infogérance, définir des clauses de confidentialité et de chaînes de responsabilité. Les responsables métiers doivent être consultés et intégrés à la réflexion. Il est primordial de bien lire les clauses du contrat d’infogérance, notamment sur leur principe de fonctionnement et de délocalisation éventuelle.

Une administration française victime d’une attaque massive de type DDoS

Franck Veysset, Chef du CERTA, nous a présenté le retour d’expérience d’une attaque informatique DDoS. Fin mars 2009, une administration française a subi une attaque massive de type DDoS. Les services de Web, messagerie et d’accès d’Internet ont été fortement impactés. Le CERTA a été contacté très tôt et son intervention rapide. Le trafic d’attaque provenait du monde entier ; au moins 7.000 bots ont été impliqués et plusieurs systèmes infectés furent identifiés sur le territoire français.

Six heures après le démarrage du DDoS (T0), l’opérateur Internet a mis en place un filtrage IP, qui s’est avéré inefficace. A T0 + 12h, le choix s’est porté sur un « Black holing » du trafic Web, qui lui fut efficace, seulement le DDoS avait alors atteint son objectif. Néanmoins, la messagerie et les autres services furent restaurés. A T0 + 20h, on a conservé le « Black holing » uniquement sur les flux internationaux. L’accès France est redevenu opérationnel. 24h après le début de l’attaque, le DDoS prit fin. Pourquoi l’attaque a-t-elle pris fin à ce moment-là ? Les hypothèses sont multiples : le DDoS n’était plus vraiment efficace, c’était une location d’attaque pour seulement 24 heures, ...

Certains PC français ont été impliqués dans le DDoS. Dans les jours suivants l’attaque, les PC ont été saisis en « flagrant délit ». Le CERTA a été missionné pour réaliser l’analyse forensic. Ces PC étaient multi-infectés. « VIRUT », un malware multi-fonction, a été détecté sur plusieurs systèmes. Après expertise, les PC français impliqués se sont révélés n’être que des victimes. A l’heure actuelle, ce dossier est encore en cours d’analyse et judiciarisé. Pour conclure, Franck Veysset a rappellé l’importance de communiquer sur ces attaques et surtout de porter plainte.

Réseaux sociaux... bientôt sur vos téléviseurs...

Les réseaux sociaux n’ont cessé d’attirer les cybercriminels en 2009, souligneYann Le Bel, Conseiller auprès du Secrétaire Général - SNCF. En février 2009, Twitter fut utilisé pour du spam à grande échelle. Au mois de mai, Facebook fut victime d’une campagne d’hameçonnage. Durant la même période, le futur chef des espions anglais se retrouvait en caleçon sur Facebook. Quid des réseaux sociaux en entreprise ? En août 2009, une étude américaine montre que 45% des recruteurs consultent les réseaux sociaux pour avoir des informations sur les futurs recrutés. Cette pratique n’est cependant pas réservée aux RH puisque les autorités y ont de plus en plus recours.

Néanmoins, 2009 aura marqué, selon lui, une certaine prise de conscience et une maturité des internautes en matière de protection de la vie privée. Le meilleur moyen pour rendre une information inacessible, c’est de la noyer. Tel était d’ailleurs l’objectif de l’outil "Suicide virtual machine", avant que Facebook et Twitter décident en janvier 2010 de mettre fin à ces suicides virtuels, estimant que la protection de la vie privée est un concept "périmé"... Le débat s’est ouvert à Bruxelles, pour tenter de définir ce que devront être les réseaux sociaux de demain.

C’est un vrai risque pour les entreprises de ne pas s’intéresser aux réseaux sociaux. Pour lui, les réseaux sociaux vont devenir un "mass media" à part entière avec une convergence vers la télévision. Les futurs téléviseurs permettront d’accéder directement aux réseaux sociaux.Une idée qui n’est pas surréaliste puisque Microsoft offre l’accès à Facebook, Twitter via la console Xbox 360.

Fraude bancaire : 1er malware spécifique pour les distributeurs de billet en 2009

Qu’en est-il de la fraude bancaire en 2009 ? Fabien David, Consultant sécurité des SI - Telindus France, met en exergue, d’une part, les vols massifs de numéros de cartes bancaires, de l’autre, de nouvelles menaces liées aux DAB. En effet, on retiendra en 2009 la fraude RBS Wordpay, filiale US de la « Royal Bank of Scotland » : 9 millions de dollars de retraits frauduleux (fin 2008) avec des cartes clonées dans un délai très court dans 2100 distributeurs de billets dans 280 villes dans 8 pays. En octobre 2009, des centaines de milliers de CB ont été volées en Espagne…

Selon le rapport de l’ENISA publié en 2009, le nombre de délits liés aux DAB augmente. La perte collective est estimée en Europe à près de 485 millions d’euros en 2008 (12.278 attaques déclarées). Les fraudes sont principalement réalisés dans des pays qui utilisent encore la piste magnétique. L’attaque la plus commune reste le skimming. Les distributeurs s’appuient de plus en plus sur des réseaux TCP/IP et peuvent donc être infectés par des malwares ou virus. En mars 2009, Sophos a d’ailleurs identifié le 1er malware spécifique pour les distributeurs de billet.

Le Web 2.0 : 5ème pouvoir ?

Isabelle Ouellet, Analyste en cybercriminalité, BCEDI (Bureau Coordination Enquêtes Délits Informatiques), Surêté du Québec, s’est intéressée au pouvoir du Web 2.0. Ce dernier révolutionne peu à peu notre quotidien par la diffusion quasi-instantanée des informations. On assiste ainsi à une démocratisation de l’information. Twitter, par exemple, est le reflet des pratiques sociales de la nouvelle génération. Il est devenu en peu de temps le plus célèbre des réseaux sociaux, le plus rapide mais aussi le plus incontrôlable des médias. Mais, le Web 2.0 peut-il vraiment concurrencer les médias ? D’un côté, c’est une source d’information pour les journalistes, voire un outil de contournement de la censure et de dénonciation de la répression (comme par exemple lors de la crise iranienne). De l’autre, les informations ne sont pas toujours avérées, vérifiées, synthétisées… Les médias ne sont pas les seuls mis en balance par ces nouvelles pratiques. Les forces policières aussi se retrouvent parfois concurrencées par des justiciers prêts à mener leurs propres enquêtes. Malgré les dérives régulières, le Web 2.0 offre aux citoyens une large vitrine de diffusion de l’information et a un pouvoir certain d’influence des médias et des gouvernements.

Une entreprise criminelle au microscope

Pour conclure cette édition, François Paget, Chercheur de menaces –McAfee Labs, nous a fait part de ses recherches concernant les activités criminelles d’une entreprise ukrainienne, du nom de Innovative Marketing Ukraine. 70 Go de données ont pu être collectées pendant près d’un an au travers du port TCP80. Cette société basée à Kiev, qui dispose de véritables locaux, vend des scarewares et compte dans son annuaire LDAP (835 entrées) des « têtes » d’ores et déjà reconnues pour leurs activités cybercriminelles. Parmi les principaux constats de ses recherches, il observe :
- 34 serveurs de production repérés sur 6 mois,
- de fréquents changements d’ISP,
- 4 millions de téléchargements provoqués en 10 jours,
- les adresses IP des serveurs ont une durée de vie inférieure à 15 minutes,
- un support technique qui fait traîner les réclamations mais qui enregistre tout : 2 millions d’appels en 2008, pour différentes raisons (double débit carte bleue, débit CB pour des produits non commandés, produit absent au téléchargement,…).

Au final, une société qui observe près de 4,5 millions de commandes en 11 mois, avec un chiffre d’affaires florissant… Ne reste plus qu’à déterminer l’intérêt pour Innovative Marketing de rendre ces informations accessibles !


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants